レルム、ユーザ、またはユーザ グループに対するアクセス コントロール ルールが適用されない

ユーザ エージェントまたは ISE/ISE-PIC デバイスのモニタ対象に多くのユーザ グループを設定した場合、またはネットワークでホストにマップされるユーザ数が非常に多い場合、FirePOWER Management Center のユーザ制限が原因で、システムがユーザ レコードをドロップすることがあります。その結果、レルムまたはユーザ条件を使用するアクセス コントロール ルールが想定どおりに適用されない可能性があります。

ユーザ グループまたはユーザ グループ内のユーザに対するアクセス コントロール ルールが想定どおりに適用されない

ユーザ グループ条件を含むアクセス コントロール ルールを設定する場合は、LDAP または Active Directory サーバでユーザ グループを設定している必要があります。サーバが基本的なオブジェクト階層でユーザを編成している場合、FirePOWER Management Center はユーザ グループ制御を実行できません。

セカンダリ グループ内のユーザに対するアクセス コントロール ルールが想定どおりに適用されない

Active Directory サーバのセカンダリ グループのメンバーであるユーザを含めるか除外するユーザ グループ条件を含むアクセス コントロール ルールを設定する場合、サーバは報告するユーザの数を制限していることがあります。

デフォルトでは、Active Directory サーバはセカンダリ グループから報告するユーザの数を制限します。この制限は、セカンダリ グループ内のすべてのユーザが FirePOWER Management Center に報告され、ユーザ条件を含むアクセス コントロール ルールでの使用に適するようにカスタマイズする必要があります。

アクセス コントロール ルールが、初めて表示されたユーザに一致していない

システムは、以前に表示されていないユーザからのアクティビティを検出すると、サーバから情報を取得します。システムがこの情報を正常に取得するまで、このユーザに表示されるアクティビティは、一致するアクセス コントロール ルールによって処理されません。代わりに、ユーザ セッションは、一致する次のアクセス コントロール ルール（またはアクセス コントロール ポリシーのデフォルト アクション）によって処理されます。

たとえば、次のような状況が考えられます。

• ユーザ グループのメンバーであるユーザが、ユーザ グループ条件を含むアクセス コントロール ルールに一致しない。

• ユーザ データ取得に使用されたサーバが Active Directory サーバである場合に、ISE/ISE-PIC またはユーザ エージェントによって報告されたユーザがアクセス コントロール ルールに一致しない。

これにより、システムがユーザ データをイベント ビューおよび分析ツールに表示するのが遅れる可能性があることに注意してください。